The invention discloses a key management method, a device and a system, belonging to the field of information security technology. The method comprises the following steps: generate a temporary key client, the server provides the public key of a temporary key encrypted by the first ciphertext and sent to the server; the background server use public key and the corresponding private key to first get temporary cipher decryption key, key and key words will get the logo, the session key and encryption key identifier second ciphertext using a temporary key, and sent to the client; the client of second decrypts the session key and ciphertext key identifier using a temporary key; the key identifier identifies the session key, session key is used for session data encryption. The invention simplifies the management complexity of the key of the backstage server and saves the processing and storage resources of the backstage server, considering the security of the key and the high efficiency of encryption and decryption.
【技术实现步骤摘要】
密钥管理方法、装置及系统
本专利技术涉及信息安全
,特别涉及一种密钥管理方法、装置及系统。
技术介绍
目前,数据的加密方式包括对称加密(SymmetricCryptography)和非对称加密(AsymmetricCryptography)两类。对称加密方式是一种快速、简单的加密方式,加密(encryption)与解密(decryption)用的是同样的密钥(secretkey)。对称加密方式通常使用相对较小的密钥,一般小于256bit(比特)。因为密钥越大,加密越强,但加密与解密的过程越慢。密钥的大小需要权衡安全性和效率。典型地,AES(AdvancedEncryptionStandard,高级加密标准)采用的是对称加密方式,在密码学中又称Rijndael加密法。以256Byte(字节)明文来说,估计速度在90万次/秒。对称加密方式由于加密与解密使用的是同样的密钥,因此其优势是加解密的速度快,但其劣势是通讯双方需要提前约定密钥,如果密钥通过网络来传输,则安全性不能保证。非对称加密方式为数据的加密与解密提供了一种非常安全的方法,其使用一对密钥,公钥(publickey)和私钥(privatekey)。私钥只能由一方安全保管,不能外泄,而公钥则可以发给任何需求方。非对称加密方式通常使用公钥加密,而使用私钥解密。与对称加密方式所不同的是,由于私钥不用在网络上传输,因此安全性得到提高。目前,常用的非对称加密算法是RSA(RivestShamirAdleman,一种公钥加密算法)算法。非对称加密方式的优势是安全性高,但其劣势是加解密的速度慢。以1024bit ...
【技术保护点】
一种密钥管理方法,其特征在于,所述方法包括:生成临时密钥;采用后台服务器提供的公钥对所述临时密钥加密,得到第一密文;向所述后台服务器发送鉴权请求,所述鉴权请求中携带所述第一密文;接收所述后台服务器发送的鉴权响应,所述鉴权响应中携带第二密文,所述第二密文是采用所述临时密钥对会话密钥和密钥标识加密得到的密文;其中,所述密钥标识用于标识所述会话密钥,所述会话密钥用于对所述会话的数据加密;采用所述临时密钥对所述第二密文解密,得到所述会话密钥和所述密钥标识。
【技术特征摘要】
1.一种密钥管理方法,其特征在于,所述方法包括:生成临时密钥;采用后台服务器提供的公钥对所述临时密钥加密,得到第一密文;向所述后台服务器发送鉴权请求,所述鉴权请求中携带所述第一密文;接收所述后台服务器发送的鉴权响应,所述鉴权响应中携带第二密文,所述第二密文是采用所述临时密钥对会话密钥和密钥标识加密得到的密文;其中,所述密钥标识用于标识所述会话密钥,所述会话密钥用于对所述会话的数据加密;采用所述临时密钥对所述第二密文解密,得到所述会话密钥和所述密钥标识。2.根据权利要求1所述的方法,其特征在于,所述采用所述临时密钥对所述第二密文解密,得到所述会话密钥和所述密钥标识之后,还包括:采用所述会话密钥对所述会话的上行数据加密,得到加密后的上行数据;向所述后台服务器发送上行数据包,所述上行数据包的包头携带所述密钥标识,所述上行数据包的包体携带所述加密后的上行数据。3.根据权利要求1所述的方法,其特征在于,所述采用所述临时密钥对所述第二密文解密,得到所述会话密钥和所述密钥标识之后,还包括:接收所述后台服务器发送的下行数据包,所述下行数据包的包头携带所述密钥标识,所述下行数据包的包体携带加密后的下行数据;采用与所述包头中携带的所述密钥标识相对应的会话密钥对所述加密后的下行数据解密,得到下行数据。4.根据权利要求1所述的方法,其特征在于,所述生成临时密钥,包括:采用随机数生成器生成所述临时密钥。5.根据权利要求1所述的方法,其特征在于,所述方法还包括:接收所述后台服务器发送的对应于所述会话密钥的初始化向量,所述初始化向量供本端采用所述会话密钥进行对称加密和解密时使用。6.一种密钥管理方法,其特征在于,所述方法包括:接收客户端发送的鉴权请求,所述鉴权请求中携带第一密文,所述第一密文是采用本端提供的公钥对临时密钥加密得到的密文;采用与所述公钥对应的私钥对所述第一密文解密,得到所述临时密钥;获取会话密钥和密钥标识;其中,所述密钥标识用于标识会话密钥,所述会话密钥用于对所述会话的数据加密;采用所述临时密钥对所述会话密钥和所述密钥标识加密,得到第二密文;向所述客户端发送鉴权响应,所述鉴权响应中携带所述第二密文。7.根据权利要求6所述的方法,其特征在于,所述获取会话密钥和密钥标识,包括:采用随机数生成器生成所述会话密钥;生成对应于所述会话密钥的密钥标识。8.根据权利要求6所述的方法,其特征在于,所述获取会话密钥和密钥标识,包括:从预存密钥中选取一组对应的会话密钥和密钥标识;其中,所述预存密钥中包括至少一组对应的会话密钥和密钥标识。9.根据权利要求8所述的方法,其特征在于,所述从预存密钥中选取一组对应的会话密钥和密钥标识,包括:获取所述客户端对应的互联网协议IP地址;根据所述IP地址确定密钥选取范围,所述密钥选取范围包括所述预存密钥中的部分相对应的会话密钥和密钥标识;从所述密钥选取范围中选取一组对应的会话密钥和密钥标识。10.根据权利要求6所述的方法,其特征在于,所述向所述客户端发送鉴权响应之后,还包括:接收所述客户端发送的上行数据包,所述上行数据包的包头携带所述密钥标识,所述上行数据包的包体携带加密后的上行数据;采用与所述包头中携带的所述密钥标识相对应的会话密钥对所述加密后的上行数据解密,得到上行数据。11.根据权利要求6所述的方法,其特征在于,所述向所述客户端发送鉴权响应之后,还包括:采用所述会话密钥对所述会话的下行数据加密,得到加密后的下行数据;向所述客户端发送下行数据包,所述下行数据包的包头携带所述密钥标识,所述下行数据包的包体携带所述加密后的下行数据。12.根据权利要求6所述的方法,其特征在于,所述接收客户端发送的鉴权请求之后,还包括:获取所述客户端所在设备对应的全局唯一标识符GUID;获取所述GUID对应的鉴权请求次数;若所述鉴权请求次数小于预设阈值,则执行所述采用与所述公钥对应的私钥对所述第一密文解密,得到所述临时密钥的步骤。13.根据权利要求6所述的方法,其特征在于,所述方法还包括:获取对应于所述会话密钥的初始化向量;向所述客户端发送所述初始化向量,所述初始化向量供所述客户端采用所述会话密钥进行对称加密和解密时使用。14.一种密钥管理装置,其特征在于,所述装置包括:密钥生成模块,用于生成临时密钥;第一加密模块,用于采用后台服务器提供的公钥对所述临时密钥加密,得到第一密文;请求发送模块,用于向所述后台服务器发送鉴权请求,所述鉴权请求中携带所述第...
【专利技术属性】
技术研发人员:陈凯,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。